Autorid: Totolink
Mirai-põhine hajutatud teenuse keelamise (DDoS) botnet, mida jälgitakse kui Beastmode (tuntud ka kui B3astmode), on värskendanud oma haavatavuste loendit, et hõlmata mitmeid uusi, millest kolm on suunatud Totolinki ruuterite erinevatele mudelitele.
Totolink on Zioncomi populaarne elektroonika alambränd, mis andis hiljuti välja püsivara värskendused, et kõrvaldada kolm kriitilist raskusastmega haavatavust.
DDoS-i robotvõrgu autorid ei raisanud aega nende puuduste lisamisega oma arsenali, et kasutada ära võimalus enne, kui Totolinki ruuteri omanikud turvavärskendusi rakendasid.
Võttes kontrolli haavatavate ruuterite üle, saab Beastmode juurdepääsu riistvararessurssidele, mis võimaldavad käivitada DDoS-i rünnakuid.
Botivõrgu operaatorid teenivad raha, müües DDoS-teenuseid või käivitades rünnakuid ettevõtete vastu ja nõudes nende peatamiseks lunaraha.
Haavatavus ja mõju
Fortineti teadlased analüüsisid Beastmode'i hiljutist versiooni ja leidsid, et see lisas järgmised uued vead, mida saab kasutada Totolinki seadmete sihtimiseks:
- CVE-2022-26210: käskude sisestamise haavatavus võimaldas ründajatel täita suvalisi käske spetsiaalselt koostatud päringu kaudu. Mõjutab Totolink A800R, A810R, A830R, A950RG, A3000RU ja A3100R.
- CVE-2022-26186: käskude sisestamise haavatavus failis cstecgi.cgi export0vpn liidese kaudu, mis mõjutab Totolink N600R ja A7100RU.
- CVE-2022-25075 kuni 25084 – kriitilise raskusvea komplekt, mis võimaldab kaugründajatel parameetri QUERY_STRING kaudu suvalisi käske täita. Mõjutab Totolink A810R, A830R, A860R, A950RG, A3100R, A3600R, T6 ja T10 ruutereid.
Beastmode'i botnetti on lisatud uusi ärakasutusi (Fortinet)
Ülaltoodud haavatavused polnud aga ainsad Beastmode'i botneti täiendused, kuna nende autorid lisasid ka järgmised vanemad vead:
- CVE-2021-45382 – Koodi kaugkäivitamise viga, mis mõjutab D-Link DIR-810L, DIR-820L/LW, DIR-826L, DIR-830L ja DIR-836L.
- CVE-2021-4045: autentimata kaugkäitamise viga, mis mõjutab TP-Link Tapo C200 IP-kaamerat.
- CVE-2017-17215: autentimata koodi kaugkäitamise viga, mis mõjutab Huawei HG532
- CVE-2016-5674 – suvalise PHP-koodi kaugkäivitamine registriparameetri kaudu, mis mõjutab Netgear ReadyNAS-i tootesarja.
Kõik ülaltoodud vead on hinnatud kriitilisteks (CVSS v3 skoor 9,8), mis võimaldab ohus osalejatel seadme üle täielikku kontrolli haarata.
Kui see juhtub, laadib pahavara alla shelliskripti, mis registreerib püütud seadme robotivõrgus ja seadistab selle erinevat tüüpi DDoS-i rünnakute jaoks.
Olge botnettide eest kaitstud
Selleks, et Mirai variandid ei saaks teie ruuteri või asjade Interneti-seadmete üle kontrolli üle võtta, rakendage kindlasti kõik saadaolevad turvavärskendused, mis parandavad ülaltoodud haavatavused.
Totolinki jaoks külastage teenusepakkuja allalaadimiskeskust, valige oma seadme mudel ning laadige alla ja installige uusim saadaolev püsivara.
Üks märke, mis võib viidata, et teie ruuter on ohus, on aeglane Interneti-ühendus. Täiendavad vihjed, millest tavakasutaja tõenäoliselt märkamata jäävad, on muuhulgas, et seade kuumeneb tavapärasest, ei saa administraatoripaneelile sisse logida, seadete muudatused või seade ei reageeri.
Kui kahtlustate, et teie võrguseadmesse on sattunud ohtu, on üks viis häkkerite välja tõrjumiseks selle käsitsi lähtestamine, teise turvalisema parooliga konfigureerimine ja müüja uusimate turbevärskenduste installimine.
Mida sa arvad?
